Атака «злой двойник» ( англ. evil twin ) — разновидность фишинга , применяемая в беспроводных компьютерных сетях . Атакующий создает копию беспроводной точки доступа , находящейся в радиусе приёма пользователя, тем самым подменяет оригинальную точку доступа двойником, к которому подключается пользователь, открывая злоумышленнику возможность доступа к конфиденциальной информации .

Распространённость

В связи с небольшой, в сравнении с Европой, плотностью беспроводных сетей в России, данная атака не встречается так часто, как на территории Европы и Америки. Статистика по такому роду атак отсутствует ещё и потому, что обнаружить, а тем более запротоколировать факт хищения информации крайне сложно. Тем не менее, беспроводные сети приобретают всё большую и большую популярность, поэтому в скором времени угроза от такого рода атак может стать вполне реальной. В особенности атака «злой двойник» применима к открытым беспроводным сетям, потому что атакующему не нужно предварительно взламывать защищённую сеть с целью получения пароля.

Оборудование

Реализовать атаку «злой двойник» может любой человек, имеющий достаточные знания и подходящее оборудование, например, ноутбук с сетевым адаптером Wi-Fi , поддерживающим режим точки доступа . При современном развитии технологий многие беспроводные адаптеры поддерживают данный режим.

Описание атаки

• Первым этапом злоумышленник должен провести радиоразведку места, где он предполагает установить беспроводную точку-двойника. В результате данной разведки атакующий получит информацию о всех доступных Wi-Fi -сетях, их SSID и типе шифрования . Также он получит информацию об активных клиентах беспроводных сетей в виде MAC-адресов как клиентов, так и точек доступа (BSSID).
• Дальше атакующий может использовать полученные на этапе анализа SSID и BSSID выбранной для атаки точки доступа для создания своего клона этой точки . «Злая» точка доступа может располагаться как физически ближе к атакуемому, так и находиться на достаточном расстоянии, в случае чего злоумышленник может использовать направленные антенны для усиления сигнала в зоне приёма жертвы.
• Когда точка-двойник установлена, и мощность приема/передачи двойника в зоне приёма клиента превышает мощность копируемой точки доступа, велика вероятность, что атакуемый подключится именно к клону, а не к оригинальной точке доступа.
• После подключения клиента к точке доступа злоумышленника становится возможным не только сохранить весь сетевой трафик с целью дальнейшего анализа, но и подменить логин-страницы популярных сайтов, таких, как google.com и vk.com незаметно для пользователя. При этом атакуемый вводит свои персональные данные в такую форму, и они оказываются у злоумышленника. После этого атаку можно считать завершенной, и атакующий может просто выключить свою точку, тем самым скрыв факт своего присутствия.

Защита

• Внимательность. Зачастую возможно обнаружить подмену логин-страниц из-за недостаточно точного копирования оригинала атакующим. Следует обращать внимание на мелочи, такие, как анимации на странице, присутствие на странице всех картинок, соответствие версий страницы, например, для мобильных устройств или нет.
• Использовать виртуальную частную сеть при подключении к открытым беспроводным сетям. В этом случае сетевой трафик на пути от клиента до VPN-сервера зашифрован. Атакующий не сможет получить из канала связи информацию о действиях клиента и подменить оригинальные сайты фишинговыми двойниками.
• Следить за сообщениями браузера о нарушении шифрования или несоответствующих сертификатах безопасности . При попытке подмены сайта, использующего шифрование канала связи на уровне протокола (протоколы SSL / TLS / HTTPS ), браузер может выдать ошибку.

Примечания

Литература

• Kirk, Jeremy. ′Evil Twin′ Hotspots Proliferate // IDG News Service. — 2007.
• . (англ.) . из 25 января 2013 года.
• Smith, Andrew D. // The Dallas Morning News, Knight Ridder Tribune Business News. — 2007. 26 апреля 2015 года.
• // . — 2008. — Вып. 10 .
• Dino A. Dai Zovi, Shane A. Macaulay. // . — 2005.
• Арсений Прудников. // . — 2012.

Ссылки